troushoo

Wiresharkでキャプチャしたパケットの概要を把握する3つの手法

Wiresharkでキャプチャしたパケットの、概要を把握するのに役に立つ3つの手法を紹介します。

Summary
Statistics –> Summaryよりキャプチャしたパケットの概要を把握できます。
Summary
以下の点が特に便利です。
・Time:いつ、どの程度パケットキャプチャを行ったのかがわかる
・Capture:パケットキャプチャを行ったOSがわかる
・Display:パケットキャプチャ時のスループットがわかる
Summaryの画面
”Display”は特に便利で、Display filterを張った後のスループットも確認できます。したがって、例えば、Display Filterに”ip.addr == 23.67.63.88”をフィルターを設定すると、IPが23.67.63.88とのスループットもわかります。
Display Filterを張る
Display Filterを張った後のSummary

Expert Info
Analyze –> Expert Info もしくは、左下の丸のアイコンでExpert Infoを起動できます。Expert Infoを利用すると、Wiresharkによるキャプチャの分析結果を確認できます。
Expert Infoの起動方法
・Errors:不正なパケットやチェックサムエラーといったエラーが表示されます。
Expert InfoのError
注) ネットワークカードのチェックサムオフロードの機能を有効にしていると、Bad checksumが大量に記録されますが、無視して問題ありません。
理由)
Microsoftの会議(=TechEd)のセッションで使われていた図を利用して説明します。
ネットワークカードのチェックサムオフロードの機能を有効にしていると、通常TCP/UDPやIPの層で作成されるチェックサム(図の①)は作成されません。代わりにネットワークカードでチェックサムが作られます(図の②)。その方が性能がよくなるためです。
しかしWiresharkは正しくないチェックサムを見て分析を行うため(図の③)、Bad checksumが記録されます(図の④)。チェックサムはその後ネットワークカードで作成されるので、問題はないということになります。
Bad checksumの理由
ネットワークカードでチェックサムオフロードの機能が有効になているかを、Wiresharkから調べることもできます。
1. Wiresharkのトップページで、”List the available capture interfaces”をクリックします。
List the available capture interfaces
2. “Details”をクリックします。
Details
3. “Task Offload”を確認します。
チェックサムオフロードが無効になっていると、(この図の802.11 (WLAN)のように)灰色になっております。
Task Offload
4. “Task Offload”をクリックすると詳細がわかります。

・Warning:Fast Retransmission(≒送信先にデータが届いていない恐れがあり、データを再送すること)やZero Windowsといったあまり起こりえない情報がワーニングとして表示されます。
Expert InfoのWarnings
・Notes:Duplicate ACKといった起こりえるが注意すべき情報が表示されます。
Expert InfoのNotes
・Chats:HTTPのGetsといった通常のワークフローの情報が表示されます。
Expert InfoのChats

Protocol Hierarchy
Statics –> Protocol Hierarchy でProtocol Hierarchyを起動できます。
Protocol Hierarchyの起動
下図のように、プロトコルの階層が表示されます。
プロトコル階層
この中に、通常見かけないIRCやtelnetがあると、マルウェアに感染している可能性が疑われ、そのような状態を発見するのに便利です。

また、この画面から簡単にdisplay filterをかけることもできます。
その方法は以下です。
1) フィルターをかけたいプロトコルを右クリックし、Apply as Filter –> Selectedを選択します。
フィルターの設定
2) パケットキャプチャの画面で、Filterにフィルターが設定され、該当のプロトコルのみが表示されます。
以下の図では、プロトコルがDNSのもののみが表示されています。
フィルター設定後

リンク
・7.3. Expert Infos
Wireshark User’s GuideのExpert Infosのページ
http://www.wireshark.org/docs/wsug_html_chunked/ChAdvExpert.html
・TCP Analyze Sequence Numbers (英語)
TCP Fast RetransmissionやTCP DupACKといったエラー情報についての説明
http://wiki.wireshark.org/TCP_Analyze_Sequence_Numbers


  1. 2012/09/27(木) 14:21:30|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:1
<<perfmon.exe: パフォーマンスのトラブルシューティングに役に立つインボックスのツール | ホーム | Network Monitorの後継ソフトMicrosoft Message Analyzer Betaリリース>>

コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2016/10/11(火) 14:37:39 |
  2. |
  3. #
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/80-7d6da172
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する